Яндекс попался на сканировании портов!
 

В понедельник было зафиксировано сканирование портов на сервере Securitylab.ru с адреса, принадлежащего «Яндексу». Представители Securitylab получили от «Яндекса» подтверждение того факта, что принадлежащий поисковой машине специальный робот проверяет машины на предмет «дырявости». У рядовых пользователей есть повод насторожиться: дело в том, что схожую процедуру сканирования портов проделывают сотни хакеров во всем мире, изучая потенциальную возможность атаки на недостаточно защищенный компьютер.

Журналисты интернет-издания Рунет.ру обратились в «Яндекс» за более подробной информацией. Ситуацию прокомментировала Елена Колмановская, главный редактор www.yandex.ru:

- Подобными действиями «Яндекс» преследует ровно то, что было заявлено, а именно обнаружение открытых портов для блокирования получения с них спама. В последнее время очень распространена технология, когда спамеры сканируют сеть на предмет открытых портов, устанавливают там программы (трояны) и рассылают спам через них. "Прозванивание" всех портов, а не только стандартных, позволяет существенно увеличить эффективность борьбы со спамом. Надо также добавить, что прозванивание портов делается по жалобе пользователя на полученный спам.

Между тем, руководитель проекта Securitylab Александр Антипов не разделяет точку зрения сотрудников «Яндекса» на происходящее и фактически обвиняет поискових в использовании хакерских приемов для контролирования ни о чем не подозревающих пользователей Сети:

- Представители «Яндекса» утверждают, что "спамеры сканируют сеть на предмет открытых портов, устанавливают там программы (трояны) и рассылают спам через них". Но какая польза спамеру от наличия “открытого порта”? С каких это пор открытый порт позволяет установить на компьютере трояны? Для этого нужно как минимум наличие уязвимой службы на открытом порту. Но уязвимость службы сканированием порта определить в большинстве случаев не возможно! (если только служба не сообщает о своей версии, о которой заранее известно, что она уязвима). Получается что кроме прозванивания, требуется еще и попытка “эксплуатации” предполагаемой дыры, используя различные способы проверки уязвимости.

Выходит, что действие робота «Яндекса» ничем не отличается от действий какого-либо “сетевого червя” или хакера, использующего сканер уязвимостей типа XSpider. То есть робот «Яндекса» все-таки проводит попытку эксплуатации уязвимости на обнаруженном открытом порту. А значит, что утверждение представителей компании, что они занимаются только "прозваниванием всех портов" - ложно!
httр://winux.net.ru

В заметке нет самого главного: какие порты сканировались.
Яндексу приходит информация (вернее не приходит, а яндекс сам ее получает), что с такого-то адреса шлют спам.
Начинается выяснение: сидит там злобный спамер или машина может быть "затроянена". Для этого проверяются характерные порты, используемые распространенными вирусами. Если задействованы именно эти порты, то велика вероятность, что перед нами жертва и карательные механизмы запускать не стоит. А если порты закрыты, то вероятность умышленных действий выше и можно начинать "копать".
Понятно, что никаких точных данных так получить нельзя, но можно хоть как-то сузить круг поиска.

vovik
Ни слова нет про "характерные" порты, тем более практически любой троян можно настроить на использование любого порта.
И вообще, кто такой этот Яндекс, чтобы сканировать мой сервер? И где гарантия, что "жалобы пользователей на спам" поступают не от конкурентов? Так что, скоро будем по заявкам о спаме в ответ DDoS-атаки устраивать, для "блокирования получения с них спама"?

Поэтому я и написал в самом начале, что в заметке не хватает информации. Есть слова редактора, которая судя по выражению "прозванивать" порты, не больно-то грамотна в области IT.
Само же по себе сканирование портов даже десятком провайдеров ни с какой атакой ничего общего не имеет - совсем другие масштабы.
И при чем тут конкуренты, если речь идет, как можно предположить, о юзерах.

vovik
Угум, сегодня они просто проверяют на открытые порты, а завтра - проверяют эксплоитами на дырявость софта, а послезавтра - __вписать_нужное__ .
Если они просто сканируют открытые порты - то это бред, мало ли что у меня за самописный софт. Что теперь, открытый порт - повод блокировать от меня почту?
Если они пытаются анализировать/эксплойтить мой порт - то извините, это уже атака.
При том, что кто угодно может утверждать, что получал от меня спам. Подобные заявления, не подкрепленные реальным данными (логами и т.п.), ни коим образом не могут быть основанием для каких-либо действий, тем более, могущих привести к блокировкам.

Все что неделается все к лучшему.

Saruman
Вот когда завтра будут эксплойтить, тогда и будет атака. А то получается "сегодня он играет джаз, а завтра Родину продаст".Блокировки, DDoS - почитай выше: это ты сам придумал. Никто об этом даже речи не ведет. А при поступлении сигнала провайдер обязан разобраться. Разбираться с каждым сигналом навряд ли у кого-то хратит резурсов, поэтому и придумывают фильтры, чтобы хоть как-то уменьшить их количество.

Странно, но почему-то ни кем больше данные действия зафиксированы не были. А любой файрвол должен фиксировать подобного рода события...